入侵檢測與病毒防范課件VIP

1、入侵檢測與病毒防范入侵檢測系統(tǒng)入侵檢測與病毒防范提綱 入侵檢測概述 入侵檢測系統(tǒng)結構 入侵檢測方法 入侵檢測系統(tǒng)舉例 入侵檢測技術發(fā)展趨勢入侵檢測與病毒防范入侵檢測概述 計算機和網(wǎng)絡系統(tǒng)的防御措施不是絕對安全的，IDS作為安全防護的第二道防線 入侵檢測系統(tǒng)（IDS）用來檢測對計算機、網(wǎng)絡或者更廣泛的信息系統(tǒng)的攻擊，包括外部非法入侵者的惡意攻擊或試探、內部合法用戶的未授權訪問。 對入侵檢測系統(tǒng)的需求： 實時地檢測如入侵行為 有效地阻止入侵或者與其它的控制機制聯(lián)動入侵檢測與病毒防范入侵檢測概述 數(shù)據(jù)的來源 主機的審計日志， 基于主機的（Host- Based） IDS 網(wǎng)絡流量數(shù)據(jù)， 基于網(wǎng)絡的（

2、Network-Based ）IDS 分析方法 特征匹配， Rule-based, Misuse 異常檢測, Abnomal入侵檢測與病毒防范提綱 入侵檢測概述 入侵檢測系統(tǒng)結構 入侵檢測方法 入侵檢測系統(tǒng)舉例 入侵檢測技術發(fā)展趨勢入侵檢測與病毒防范入侵檢測系統(tǒng)結構 入侵檢測系統(tǒng)的一般結構數(shù)據(jù)采集數(shù)據(jù)采集（Sensor）分析器分析器知識庫知識庫響應響應/控制控制響應政策響應政策配置信息配置信息告警告警控制控制入侵檢測與病毒防范基于主機的入侵檢測 信息來源 系統(tǒng)狀態(tài)信息（CPU, Memory, Network） 記賬（Accounting）信息 審計信息（Audit），登錄認證、操作審計，如s

3、yslog等 應用系統(tǒng)提供的審計記錄入侵檢測與病毒防范基于主機的入侵檢測 基于主機的入侵檢測的缺點 需要在主機上運行，占用系統(tǒng)資源 多數(shù)是事后的分析，實時性差 異構的平臺支持困難入侵檢測與病毒防范基于主機的分布式入侵檢測分布式入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)Agent入侵檢測與病毒防范基于網(wǎng)絡的入侵檢測 信息來源于網(wǎng)絡上的數(shù)據(jù)包 被動監(jiān)聽方式工作，不影響網(wǎng)絡性能 分析網(wǎng)絡協(xié)議數(shù)據(jù)，與系統(tǒng)平臺無關。HUBIDS SensorMonitored Servers入侵檢測與病毒防范基于網(wǎng)絡的入侵檢測FrameHeaderIP DatagramHeaderICMP/UDP/TCPHeaderFrame D

4、ata AreaIP DataProtocolDataInterface LayerInternet LayerTransport Layer協(xié)議分析協(xié)議分析入侵檢測與病毒防范基于網(wǎng)絡的入侵檢測EthernetIPTCP模式匹配EthernetIPTCP協(xié)議分析HTTPUnicodeXML入侵檢測與病毒防范直接的模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1

5、 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 64754745 5420 2f70 726f 6475 .GET /produ GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 50 6765 732f

6、 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: * */ /* *.Ref .Ref 80 6572 6572

7、3a20 6874 7470 3a2f 2f77 7777 erer: 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 7

8、46f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding d0 0a41 636

9、3 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c

10、61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 120 205

11、7 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976

12、 ction: Keep-Aliv 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e. 160 650d 0a0d 0a e.入侵檢測與病毒防范經(jīng)過協(xié)議解碼之后的協(xié)議分析 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30

13、16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765686f 6d65 5f63 6f6c 6c61 6765 ges/home_collagehome_collage 60 322e 6a70 6720322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg2.jpg HTTP/1.1. 70 4163 6

14、365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 7

15、30d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100 696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30

16、 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 .Conne 150 6374 696f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e.入侵檢測與病毒防范混合型的分布式入侵檢測系統(tǒng)主機主機主機主機流量流量分

17、析器分析器流量流量分析器分析器主機代理主機代理管理器管理器AgentAgent主機代理主機代理網(wǎng)絡代理網(wǎng)絡代理管理器管理器入侵檢測與病毒防范混合型的分布式入侵檢測系統(tǒng) 分布式入侵檢測系統(tǒng)需要考慮的主要問題 不同的入侵檢測Agent之間的協(xié)調； 不同審計記錄格式：主機，網(wǎng)絡； 網(wǎng)絡上傳輸?shù)臄?shù)據(jù)量可能會影響網(wǎng)絡性能； 數(shù)據(jù)傳輸?shù)谋Ｃ苄耘c完整性，比如SNMP Trap v2 ； 層次結構入侵檢測與病毒防范提綱 入侵檢測概述 入侵檢測系統(tǒng)結構 入侵檢測方法 入侵檢測系統(tǒng)舉例 入侵檢測技術發(fā)展趨勢入侵檢測與病毒防范入侵檢測方法 特征匹配，誤用/濫用（Misuse） 根據(jù)已知的攻擊方法或系統(tǒng)安全缺陷方面的

18、知識，建立特征（ Signature ） 數(shù)據(jù)庫，然后在收集到的網(wǎng)絡活動中尋找匹配的使用模式（Pattern） 專家系統(tǒng)是常用的方法，其知識庫表現(xiàn)為一系列推導規(guī)則（Rules）,因此誤用檢測也稱為基于規(guī)則的檢測技術 準確率較高 只能檢測已知的攻擊入侵檢測與病毒防范入侵檢測方法 異常（Anomaly）檢測 非規(guī)則檢測建立在如下假設的基礎上：入侵行為與合法用戶或者系統(tǒng)的正?；蛘咂谕男袨橛衅?。 正常的行為模式可以從大量歷史活動資料的分析統(tǒng)計中得到。 任何不符合以往活動規(guī)律的行為都被視為是入侵行為。 能夠檢測出未知的攻擊 誤報率很高入侵檢測與病毒防范提綱 入侵檢測概述 入侵檢測系統(tǒng)結構 入侵檢測方

19、法 入侵檢測系統(tǒng)舉例 入侵檢測技術發(fā)展趨勢入侵檢測與病毒防范入侵檢測系統(tǒng)舉例 Snort IDES(Intrusion Detction Expert System) NFR(Network Flight Recorder Inc.) IDA入侵檢測與病毒防范Snort 入侵檢測系統(tǒng) Snort 系統(tǒng)概述 Martin Roesch , 開放源代碼 支持多種平臺：Linux , Solaris, Windows 不僅是一個功能強大的入侵檢測系統(tǒng)，還可以作為網(wǎng)絡信息包的分析器、記錄器 基于網(wǎng)絡的入侵檢測系統(tǒng)，利用Libpcap 捕獲數(shù)據(jù)包 基于規(guī)則的檢測方法，可以檢測出緩存溢出、端口掃描、等多種

20、攻擊，目前有1800多條規(guī)則入侵檢測與病毒防范Snort 入侵檢測系統(tǒng) Snort 系統(tǒng)概述 支持多種告警方式：記錄到文件、Syslog、Snmptrap、 SMB 消息 直接記錄到數(shù)據(jù)庫：mySQL 入侵檢測與病毒防范Snort 系統(tǒng)結構數(shù)據(jù)包數(shù)據(jù)包分析器分析器檢測引擎檢測引擎日志日志/告警告警LibpcapRules入侵檢測與病毒防范數(shù)據(jù)包解碼器（Packet Decoder）EthernetIP headerTCPtelnetnetwork入侵檢測與病毒防范檢測引擎 Snort 規(guī)則形式 規(guī)則頭規(guī)則選項alert tcp any any - /24 111 (con

21、tent: ”|000186a5|”; msg:”mounted access”)入侵檢測與病毒防范檢測引擎 規(guī)則頭 規(guī)則動作 Alert /Log /Pass 協(xié)議 目前支持TCP/ UDP/ICMP 以后支持ARP , RIP , OSPF 等 IP 地址 Any 匹配任何地址 支持CIDR （classless Inter-Domain Record） 比如：/16 , /24 , /25 端口號Port入侵檢測與病毒防范檢測引擎 規(guī)則頭 方向 單向： 雙向 ： Log ! /24 any 192.1

22、68.1.0/24 23 # 記錄所有非本網(wǎng)的記錄所有非本網(wǎng)的telnet 包包Log udp any any - /24 1:1024 入侵檢測與病毒防范檢測引擎 規(guī)則選項 選項之間用 ; 分隔 msg 在告警信息中顯示的消息 ttl : IP 的 TTL 選項 id ： IP 分片的 dsize： 數(shù)據(jù)包的大小 content ：數(shù)據(jù)包中的內容 offset： 從何處開始檢索content depth ：在content 中檢索的深度入侵檢測與病毒防范檢測引擎 規(guī)則選項 nocase flags seq ack itype icode ipoption resp入侵檢

23、測與病毒防范檢測引擎 Snort 規(guī)則的二維鏈表規(guī)則鏈表頭源地址目標地址源端口目標端口規(guī)則鏈表頭源地址目標地址源端口目標端口規(guī)則鏈表選項Payload ContentTCP FlagICMP TypeLength規(guī)則鏈表選項Payload ContentTCP FlagICMP TypeLength入侵檢測與病毒防范檢測引擎 各種監(jiān)測功能通過各種插件（Plug-in）模塊來完成。 用戶可以編寫自己的模塊來擴展新的功能入侵檢測與病毒防范日志/告警子系統(tǒng) 3種日志模式 關閉 文本方式 二進制方式，與tcpdump 格式相同 4種告警方式 Syslog winPopup Snmp trap Mysq

24、l 數(shù)據(jù)庫入侵檢測與病毒防范IDES (Intrusion Detection Expert System) 目標系統(tǒng)根據(jù)用戶的活動產(chǎn)生審計數(shù)據(jù)，用IDES定義的一種專用的格式。 收到審計數(shù)據(jù)以后，IDES調用統(tǒng)計分析和規(guī)則分析兩個部件來檢測是否存在異常。 一旦檢測出異常就通過用戶界面向管理員告警。 特點： 同時使用了統(tǒng)計的方法和基于規(guī)則的方法 使用了統(tǒng)計的記錄格式，獨立于被監(jiān)控的系統(tǒng)平臺Target SystemStatistical Intrusion DetectionRule-BasedIntrusion DetectionAudit RecordsUser Interface入侵檢測

25、與病毒防范IDES 的統(tǒng)計入侵檢測 被監(jiān)控對象 主體（Subject）：用戶、主機、組(Group)、整個系統(tǒng) 描述主體行為的尺度（Metrics） Metric 是描述用戶行為的一個變量（參數(shù)），比如每次登錄時間、每天登錄次數(shù)、登錄的地點等 離散型尺度：登錄地點、訪問的文件名稱，用每個值的發(fā)生概率來描述； 連續(xù)型尺度：每次會話的持續(xù)時間等，用概率分布來描述。 檔案（Profile ）: 不存放大量的歷史數(shù)據(jù)，而是存放各個尺度的平均值、頻率表、方差等。入侵檢測與病毒防范IDES 的統(tǒng)計入侵檢測 檢測方法 根據(jù)主體的歷史檔案（Profile）判斷用戶的行為是否偏離了過去的行為模式或習慣。 每次審計記錄接收以后，計算N維空間中當前事件與檔案中的統(tǒng)計值之間的距離是否超過設定的閾值M1M2M1t事件事件e平均值平均值入侵檢測與病毒防范IDES 基于規(guī)則的入侵檢測 規(guī)則描述了可疑的行為類型，基于過去的入侵行為、系統(tǒng)漏洞等信息，不依賴于用戶的歷史行為 用戶用P-BEST 書寫規(guī)則，系統(tǒng)自動翻譯成C語言代碼，生成可執(zhí)行的系統(tǒng)入侵檢測與病毒防范IDS系